De acuerdo

Función Hot Standby en firewalls: Preguntas frecuentes sobre fallas

20 0 0 0 0

Hola a todos. En esta publicación les compartiré algunas preguntas frecuentes que recibimos con respecto a la función de Activo/En espera o Hot Standby para el caso de algunas fallas que se han presentado.

 

¿Por qué se interrumpen los servicios después de que firewall activo original se anticipa?

Los servicios son normales después del cambio activo/en espera, pero los servicios se interrumpen después de que el firewall activo se anticipa. Porque la causa puede ser que la red no haya convergido o que las sesiones no estén completamente respaldadas. Además, si un switch falla, sus interfaces pueden subir y bajar repetidamente cuando el switch se reinicia. Si el firewall original activo se anticipa durante el proceso, los servicios pueden interrumpirse.

 

En este caso, ajuste preemption delay del firewall activo original.

 

¿Por qué se produce repetidamente la conmutación activa / en espera?

Verifique el estado de la interfaz de servicio. Si las interfaces suben y bajan repetidamente, el cambio activo / en espera se produce repetidamente. Si las interfaces de servicio son normales, el cambio de estado constante puede deberse a diferentes intervalos de hearbeat en los dos firewalls. En este caso, cambie los intervalos al mismo valor.

 

¿Por qué el firewall activo original no se anticipa después de la recuperación?

Las posibles causas son las siguientes:

l  La función de preemption está desactivada.

l  No se cumplen las condiciones de preemption. El firewall activo original no se anticipa inmediatamente después de la recuperación. En cambio, espera un retraso antes de la preferencia. El r preemption delay se establece para evitar un cambio inestable activo / en espera.


¿Por qué los mismos elementos de configuración están dispuestos en diferentes órdenes en los archivos de configuración en los firewalls activos y en espera?

El fallo suele deberse a configuraciones iniciales inconsistentes de los dos firewalls. Debe eliminar los elementos de configuración en diferentes órdenes y reconfigurarlos.

 

Se recomienda configurar el modo de espera activo según la configuración predeterminada.

 

¿Por qué son diferentes las tablas de sesión en los firewalls activos y en espera?

Verifique el estado del enlace de heartbeat. Si el enlace de heartbeat falla, las sesiones en el firewall activo no se pueden sincronizar con el firewall en espera.


Si la función de copia de seguridad automática de la sesión está desactivada, las sesiones en los dos firewalls son diferentes. Incluso cuando la función de copia de seguridad automática de la sesión está habilitada, las sesiones no se sincronizan en tiempo real. Solo cuando las sesiones que se van a sincronizar son detectadas por el subproceso de caducidad de la sesión, las sesiones se sincronizan con el firewalls en espera. Por lo tanto, las sesiones establecidas se sincronizan con el firewall en espera después de un período (aproximadamente 10 segundos).

Los firewalls no realizan copias de seguridad de sesiones de los siguientes tipos cuando la función de copia de seguridad automática de sesiones está habilitada:

l  Sesiones al firewall

l  Conexiones TCP semiabiertas

l  Sesiones en las que los primeros paquetes son paquetes UDP y los paquetes posteriores no (como los paquetes BitTorrent)

 

¿Cuáles son las diferencias entre la copia de seguridad automática de la sesión y la copia de seguridad rápida de la sesión? ¿Por qué se requiere una copia de seguridad de sesión rápida en caso de rutas de avance y retorno inconsistentes?

Las diferencias entre la copia de seguridadpida de la sesión y la copia de seguridad automática de la sesión son las siguientes:

l  En la copia de seguridad rápida de sesiones, las sesiones se sincronizan con el firewalls en espera inmediatamente después de configurarse. En la copia de seguridad automática de la sesión, solo las sesiones que requieren copia de seguridad y son detectadas por el subproceso de vencimiento de la sesión se sincronizan con el firewall en espera.

 

l  La función de copia de seguridad de sesión rápida puede realizar copias de seguridad de sesiones TCP medio abiertas.

 

Si las rutas de reenvío y retorno son diferentes, habilite la copia de seguridad rápida de la sesión para asegurarse de que las sesiones en los dos firewalls sean las mismas.

 

 

Saludos.

 

FIN.


También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei

Guía de dimensionamiento firewall USG6000 Series NGFW


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

 


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.